回复“220619”获取机翻版“网络基础设施安全指南”

---

1.简介

随着攻击者利用新漏洞、实施新的安全功能以及确定保护设备的新方法，保护网络的指南也在不断发展。配置不当，不正确的配置处理和弱加密密钥可能会暴露整个网络中的漏洞。所有网络都面临入侵的风险，尤其是在设备未正确配置和维护的情况下。管理员的角色对于保护网络免受对抗性技术的影响至关重要，并且需要专门的人员来保护网络上的设备、应用程序和信息。

管理员的角色对于保护网络至关重要。

此报告介绍了整体网络安全和保护单个网络设备的最佳做法。它将帮助管理员防止攻击者利用其网络。虽然此处提供的指南可以应用于多种类型的网络设备，但美国国家安全局（NSA）为思科互联操作系统（IOS）设备提供了示例命令。可以执行这些命令来实现建议的缓解措施。

1.1  关于零信任

零信任是一种安全模型，一套系统设计原则，以及一种基于承认传统网络边界内外都存在威胁的协调网络安全和系统管理策略。NSA完全支持零信任安全模型，并且此报告中的许多指导可以按照零信任指南中的建议应用于不同的边界。但是，此报告提供了缓解现有网络上常见漏洞和弱点的指导。随着系统所有者引入旨在实现更成熟的零信任原则的新网络设计，本指南可能需要修改。

2.  网络架构和设计

实现多个防御层的安全网络设计对于防御威胁和保护网络内的资源至关重要。设计应遵循安全最佳做法，并针对网络外围和内部设备建模零信任原则。

2.1  安装外围和内部防御设备

网络需要大量的防御策略来保护单个组件及其包含的信息。应在网络外围实施多层防御，以防范外部威胁，并监视和限制入站和出站流量。

NSA建议根据安全最佳实践在网络外围配置和安装安全设备：

• 安装边界路由器以方便连接到外部网络，例如互联网服务提供商（ISP）。

• 在整个网络中实施多层下一代防火墙，以限制入站流量、限制出站流量并检查不同网络区域之间的所有内部活动。每一层都应利用不同的供应商来防止攻击者利用相同的未修补漏洞来尝试访问内部网络。

• 将可公开访问的系统和出站代理放置在一个或多个外围安全区域（DMZ）子网中的防火墙层之间，可以在外部设备、DMZ设备和内部系统之间适当地控制访问。

• 实施网络监视解决方案以记录和跟踪入站和出站流量，例如网络入侵检测系统（NIDS）、流量检查器或全数据包捕获设备。

• 部署多个专用远程日志服务器，以实现设备之间的活动关联和横向移动检测。

• 在核心区域中实施冗余设备以确保可用性，可以对其进行负载平衡以提高网络吞吐量并减少延迟。

图1：具有防火墙和DMZ的网络边界

2.2  对类似网络系统进行分组

网络中的类似系统应该在逻辑上组合在一起，以防止来自其他类型的系统的对抗性横向移动。攻击者将针对更容易利用的系统（如打印机），并使用该初始访问权限进一步传播到网络上的其他系统。适当的网络分段大大降低了对手访问和利用这些其他系统的能力（参见网络安全和基础设施安全局（CISA）的“通过分段对网络安全进行分层”和NSA的“分段网络并部署应用感知防御”）。此外，不同类型的系统之间的访问限制更易于管理、控制和监视（如果它们在逻辑上组合在一起）。

NSA建议将类似的系统隔离到不同的子网或虚拟局域网（VLAN）中，或者通过防火墙或过滤路由器以物理方式分隔不同的子网。工作站、服务器、打印机、电信系统和其他网络外围设备应彼此分开。运营技术，如工业控制系统，通常需要与其他信息技术和高风险网络（如互联网）隔离。这种物理隔离提供了更强的保护，因为子网之间的中间设备必须受到损害，攻击者才能绕过访问限制。在内部路由器、交换机或防火墙上实施访问限制，以仅允许网络操作或有效任务需求所需的端口和协议。访问控制列表（ACL）可能需要复制并直接应用于交换机以限制VLAN之间的访问，或者可以将其应用于在内部子网之间执行路由的核心路由器。

2.3  删除后门连接

后门网络连接是位于不同网络区域的两个或多个设备之间的连接，通常具有不同类型的数据和安全要求。如果一台设备受到威胁，攻击者可以使用此连接绕过访问限制并访问网络的其他区域。后门网络连接的一个示例是连接到ISP的外部边界路由器，该ISP也直接连接到内部或管理子网。可以破坏此外部边界路由器的对手可能会绕过所有防火墙访问内部网络。

NSA建议删除所有后门网络连接，并在连接具有多个网络接口的设备时要小心。验证设备的所有网络接口是否处于相似的安全级别，或者中间设备是否在不同网络区域之间提供逻辑和物理隔离。

2.4  利用严格的边界访问控制

网络外围设备是安全模型中的基本元素，应通过实现ACL来调节网络流量的入口和出口，从而配置为相互补充。应将这些访问控制规则集配置为仅明确允许支持网络任务所需的服务和系统。

NSA建议采用默认拒绝、例外许可的方法，方法是仔细考虑允许哪些连接，然后创建专注于仅允许允许连接的规则集。此方法允许单个规则拒绝多种类型的连接，而无需为每个阻止的连接创建单独的规则。如果不使用默认拒绝、按例外允许的方法，可能会允许不必要的访问，并增加泄露和信息收集的风险。如果需要动态应用其他外围规则集以防止攻击者完成或继续利用漏洞，NSA建议使用入侵防御系统（IPS）。

NSA还建议至少在拒绝或删除网络流量的所有规则集上启用日志记录。还应在管理员成功和不成功访问关键设备时启用日志记录。

2.5  实施网络访问控制（NAC）解决方案

希望获得对网络的内部访问权限的对手必须找到通过网络外部边界的方法，或者从网络内部获得访问权限。NAC解决方案可防止未经授权的物理连接，并监控网络上的授权物理连接。

NSA建议实施NAC解决方案，以识别和验证连接到网络的唯一设备。端口安全是一种可以在交换机上实现的机制，用于检测未经授权的设备何时通过设备的媒体访问控制（MAC）地址连接到网络。

但是，端口安全性可能难以管理。例如，由于有效的阻塞网络端口（例如，经常更改的连接设备，例如会议室），它增加了支持票证的数量。此外，可以欺骗MAC地址的对手也可以绕过它。更强大的解决方案利用802.1X，它根据设备上安装的受信任数字证书对设备进行身份验证。虽然由于使用了证书，它的实现更加复杂，但它比端口安全性更容易管理，并提供更高级别的保证。

2.6  限制虚拟专用网络（VPN）

可以在两个端点之间建立VPN隧道，以通过网络提供加密的通信通道。仅当无法通过其他方法维护流量的机密性和完整性时，才应使用它。VPN网关通常可从互联网访问，并且容易受到网络扫描，暴力破解尝试和零日漏洞的影响。要缓解其中的许多漏洞，请禁用VPN网关上所有不必要的功能，并实施严格的流量过滤规则。

NSA建议根据需要将VPN网关访问限制为用户数据报协议（UDP）端口500、UDP端口4500、封装安全有效负载（ESP）和其他相应端口。如果可能，请将接受的流量限制为已知的VPN对等互联网协议（IP）地址。如果远程对等IP地址未知，则无法将远程访问VPN添加到静态筛选规则中。如果无法将流量筛选到特定IP地址，请使用VPN网关前面的IPS来监视格式错误的IP安全（IPsec）流量并检查IPsec会话协商。

所有Ipsec VPN 配置都需要 IPsec 策略和 Internet Key Exchange （IKE） 策略。这些策略确定在建立IPsec隧道时将如何协商每个阶段。如果任一阶段配置为允许弱加密，则整个VPN可能面临风险，并且数据机密性将丢失。每个IKE策略至少包括三个关键组件：

1. Diffie-Hellman算法/组

2. 加密算法

3. 哈希算法

以下是国家安全系统政策委员会（CNSSP）15的最低建议设置：

• Diffie-Hellman Group：16个，带4096位模块化指数（MODP）

• Diffie-Hellman组：20个，带384位椭圆曲线组（ECP）

• 加密：高级加密标准（AES）-256

• 哈希：安全哈希算法（SHA）-384

根据CNSSP 15的最低要求，Diffie-Hellman Group 15也是可以接受的，但由于已经观察到的互操作性问题，不建议使用Group 15。

在建立VPN建议、策略或转换集时，请确保其遵循CNSSP 15建议。CNSSP 15要求在互联网工程任务组（IETF）草案中进行了解释，该文件“用于互联网协议安全（IPsec）的商业国家安全算法（CNSA）套件加密”。https://datatracker.ietf.org/doc/draft-corcoran-cnsa-ipsec-profile/

要确保它们不会被无意中使用，请使用以下配置命令禁用Internet安全关联和密钥管理协议（ISAKMP）和IKEv2的默认策略和建议：

no crypto isakmp default policy no crypto ikev2 policy default no crypto ikev2 proposal default

no crypto ipsec transform-set default

注意：如果禁用默认策略，则仅使用显式配置的策略。

使用以下示例配置命令建立IKEv2建议、策略和配置文件：

crypto ikev2 proposal <IKEV2_PROPOSAL_NAME>

encryption aes-gcm-256 group [16|20]

crypto ikev2 policy <IKEV2_POLICY_NAME>

proposal <IKEV2_PROPOSAL_NAME>

crypto ikev2 profile <IKEV2_PROFILE_NAME> match identity remote ... authentication remote ... authentication local ...

配置文件的配置将取决于为其配置的网络，并且必须具有本地和远程身份验证方法以及匹配语句。还可以建立单独的密钥环并将其应用于多个预共享密钥的配置文件。

使用以下示例配置命令建立IPsec转换集：

crypto ipsec transform-set <IPSEC_TRANSFORM_NAME>esp-gcm 256 mode tunnel

使用以下示例配置命令建立一个IPsec配置文件，该配置文件利用上面定义的 IKEv2 配置文件和 IPsec 转换集：

crypto ipsec profile <IPSEC_PROFILE_NAME> set transform-set <IPSEC_TRANSFORM_NAME>set pfs group16

set ikev2-profile <IKEV2_PROFILE_NAME>

应使用以下配置命令将 IPsec 配置文件应用于隧道接口：

interface <TUNNEL_INTERFACE_NAME>

tunnel protection ipsec profile <IPSEC_PROFILE_NAME>

no shutdown

有关详细信息，请参阅“配置IPsec 虚拟专用网络”、“缓解最近的VPN 漏洞”和“消除过时的传输层安全性 （TLS） 协议配置”

原文始发于微信公众号（祺印说信安）：NSA的网络安全报告之网络基础设施安全指南（一）